入侵檢測系統(tǒng)中最普遍的兩種產(chǎn)品是基于網(wǎng)絡的網(wǎng)絡入侵檢測系統(tǒng)(NIDS)和基于主機的主機入侵檢測系統(tǒng)(HIDS)。那么，NIDS與HIDS到底區(qū)別在哪里?用戶在使用時該如何選擇呢?

先來回顧一下IDS的定義：所謂入侵檢測，就是通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象，并對此做出適當反應的過程。而入侵檢測系統(tǒng)則是實現(xiàn)這些功能的系統(tǒng)。

這個定義是ICSA入侵檢測系統(tǒng)論壇給出的。不難看出，IDS應該是包含了收集信息、分析信息、給出結(jié)論、做出反應四個過程。在IDS發(fā)展初期，想要全部實現(xiàn)這些功能在技術(shù)上是很難辦到的，所以大家都從不同的出發(fā)點，開發(fā)了不同的IDS。

一般情況下，我們都按照“審計來源”將IDS分成基于網(wǎng)絡的NIDS和基于主機的HIDS，這也是目前應用最普遍的兩種IDS，尤以NIDS應用最為廣泛。大部分IDS都采用“信息收集系統(tǒng)-分析控制系統(tǒng)”結(jié)構(gòu)，即由安裝在被監(jiān)控信息源的探頭(或代理)來收集相關(guān)的信息，然后按照一定方式傳輸給分析機，經(jīng)過對相關(guān)信息的分析，按照事先設定的規(guī)則、策略等給出反應。

核心技術(shù)有差別

HIDS將探頭(代理)安裝在受保護系統(tǒng)中，它要求與操作系統(tǒng)內(nèi)核和服務緊密捆綁在一起，監(jiān)控各種系統(tǒng)事件，如對內(nèi)核或API的調(diào)用，以此來防御攻擊并對這些事件進行日志;還可以監(jiān)測特定的系統(tǒng)文件和可執(zhí)行文件調(diào)用，以及Windows NT下的安全記錄和Unix環(huán)境下的系統(tǒng)記錄。對于特別設定的關(guān)鍵文件和文件夾也可以進行適時輪詢的監(jiān)控。HIDS能對檢測的入侵行為、事件給予積極的反應，比如斷開連接、封掉用戶賬號、殺死進程、提交警報等等。如果某用戶在系統(tǒng)中植入了一個未知的木馬病毒，可能所有的殺病毒軟件、IDS等等的病毒庫、攻擊庫中都沒有記載，但只要這個木馬程序開始工作，如提升用戶權(quán)限、非法修改系統(tǒng)文件、調(diào)用被監(jiān)控文件和文件夾等，就會立即被HIDS的發(fā)現(xiàn)，并采取殺死進程、封掉賬號，甚至斷開網(wǎng)絡連接?，F(xiàn)在的某些HIDS甚至吸取了部分網(wǎng)管、訪問控制等方面的技術(shù)，能夠很好地與系統(tǒng)，甚至系統(tǒng)上的應用緊密結(jié)合。

HIDS技術(shù)要求非常高，要求開發(fā)HIDS的企業(yè)對相關(guān)的操作系統(tǒng)非常了解，而且安裝在主機上的探頭(代理)必須非?？煽?，系統(tǒng)占用小，自身安全性要好，否則將會對系統(tǒng)產(chǎn)生負面影響。HIDS關(guān)注的是到達主機的各種安全威脅，并不關(guān)注網(wǎng)絡的安全。

因為HIDS與操作系統(tǒng)緊密相聯(lián)，美國等發(fā)達國家對于HIDS技術(shù)都是嚴格控制的，而獨自進行有關(guān)HIDS系統(tǒng)的研發(fā)，成本非常高，所以國內(nèi)專業(yè)從事HIDS的企業(yè)非常少。國內(nèi)市場上能見到的HIDS產(chǎn)品只有：理工先河的“金海豚”、CA的eTrust(包含類似于HIDS的功能模塊)、東方龍馬HIDS(純軟件的)、曙光GodEye等屈指可數(shù)的幾個產(chǎn)品,而且能支持的操作系統(tǒng)也基本上都是Solaris、Linux、Wondows 2000非常少的幾個。

NIDS則是以網(wǎng)絡包作為分析數(shù)據(jù)源。它通常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為，IDS的響應模塊就作出適當?shù)捻憫热鐖缶?、切斷相關(guān)用戶的網(wǎng)絡連接等。與SCANER收集網(wǎng)絡中的漏洞不同，NIDS收集的是網(wǎng)絡中的動態(tài)流量信息。因此，攻擊特征庫數(shù)目多少以及數(shù)據(jù)處理能力，就決定了NIDS識別入侵行為的能力。大部分NIDS的處理能力還是100兆級的，部分NIDS已經(jīng)達到1000兆級。NIDS設在防火墻后一個流動崗哨，能夠適時發(fā)覺在網(wǎng)絡中的攻擊行為，并采取相應的響應措施。

目前市場上最常見的入侵檢測系統(tǒng)，絕大多數(shù)大都是NIDS，比如東軟NetEye、聯(lián)想網(wǎng)御、上海金諾KIDS、啟明星辰天闐、NAI McAfee IntruShied、安氏LinkTrust等等。

HIDS與NIDS雖然基本原理一樣，但實現(xiàn)入侵檢測的方法、過程和起到的作用都是不相同的，他們區(qū)別主要如上表所示。

性能和效能標準不同

在衡量IDS性能和效能的有關(guān)標準方面，HIDS和NIDS也有很大的不同。

HIDS由于采取的是對事件和系統(tǒng)調(diào)用的監(jiān)控，衡量它的技術(shù)指標非常少，一般用戶需要考慮的是，該HIDS能夠同時支持的操作系統(tǒng)數(shù)、能夠同時監(jiān)控的主機數(shù)、探頭(代理)對主機系統(tǒng)的資源占用率、可以分析的協(xié)議數(shù)，另外更需要關(guān)注的是分析能力、數(shù)據(jù)傳輸方式、主機事件類的數(shù)目、響應的方式和速度、自身的抗攻擊性、日志能力等等，一般我們采購HIDS需要看的是研發(fā)企業(yè)的背景、該產(chǎn)品的應用情況和實際的攻擊測試。

而NIDS就相對比較簡單。NIDS采取的基本上都是模式匹配的形式，所以衡量NIDS的技術(shù)指標可以數(shù)量化。對于NIDS，我們要考察的是：支持的網(wǎng)絡類型、IP碎片重組能力、可以分析的協(xié)議數(shù)、攻擊特征庫的數(shù)目、特征庫的更新頻率、日志能力、數(shù)據(jù)處理能力、自身抗攻擊性等等。尤其要關(guān)注的是數(shù)據(jù)處理能力，一般的企業(yè)100兆級的足以應付;還有攻擊特征庫和更新頻率，國內(nèi)市場常見的NIDS的攻擊特征數(shù)大概都在1200個以上，更新也基本上都是每月，甚至每周更新。采購NIDS需要注意的是漏報和誤報，這是NIDS應用的大敵，也會因各開發(fā)企業(yè)的技術(shù)不同有所不同，所以，在采購時最好要做實際的洪水攻擊測試。

HIDS和NIDS這兩個系統(tǒng)在很大程度上是互補的，許多機構(gòu)的網(wǎng)絡安全解決方案都同時采用了基于主機和基于網(wǎng)絡的兩種入侵檢測系統(tǒng)。實際上，許多用戶在使用IDS時都配置了基于網(wǎng)絡的入侵檢測，但不能保證檢測并能防止所有的攻擊，特別是一些加密包的攻擊，而網(wǎng)絡中的DNS、Email和Web服務器經(jīng)常是攻擊的目標，但是，它們又必須與外部網(wǎng)絡交互，不可能對其進行全部屏蔽，所以，應當在各個服務器上安裝基于主機的入侵檢測系統(tǒng)。因此，即便是小規(guī)模的網(wǎng)絡結(jié)構(gòu)，也常常需要基于主機和基于網(wǎng)絡的兩種入侵檢測能力。

應用領域分化明顯

在應用領域上，HIDS和NIDS有明顯的分化。NIDS的應用行業(yè)比較廣，現(xiàn)在的電信、銀行、金融、電子政務等領域應用得最好。由于我國的主要電信骨干網(wǎng)都部署了NIDS，所以2002年的大規(guī)模DoS攻擊時，我們的骨干網(wǎng)并沒有遭到破壞，而且以此為契機，NIDS迅速地推廣到各個應用領域，甚至可以說，“2004年NIDS的應用是沿著防火墻走的”。

但在NIDS的應用過程中，最大的敵人就是誤警和漏警。漏警不影響應用環(huán)境的可用性，只是用戶的投資失誤;而誤警則有可能導致警報異常、網(wǎng)絡紊亂，甚至應用的癱瘓。誤警很多時候是設置不當造成的，許多用戶簡單把這些都歸結(jié)為檢測錯誤率(False Positives)，這是不正確的。由于技術(shù)的發(fā)展，NIDS的檢測錯誤率實際上已經(jīng)很低了，我們要努力做的是與用戶一起，深入理解應用，科學的配置，這才能有效減少誤警率。所有說，應用不僅是NIDS廠商的事情，真正的主角應該是用戶。

HIDS的應用，遠比NIDS要復雜的多。由于HIDS不像NIDS有許多可以數(shù)據(jù)化的技術(shù)指標，而且又要在被監(jiān)控的主機上安裝探頭(代理)，使得應用對它都有一定的擔憂。所以對于系統(tǒng)穩(wěn)定性比較高的一些行業(yè)像銀行、電信等對其應用，都非常謹慎。而對于國防、軍工、機要保密等領域，對系統(tǒng)的安全、特別是信息安全要求比較高，而對系統(tǒng)的穩(wěn)定性不是太敏感，而且更關(guān)注來自內(nèi)部的攻擊(一般這些領域的信息系統(tǒng)是不與公網(wǎng)相連的)，所以對HIDS的應用比較容易接受，反而NIDS不是很看重。實際上，目前中國的HIDS市場也主要在這些領域。

由于技術(shù)進步和信息安全威脅的增加，從2003年下半年開始，HIDS在其他領域的應用也慢慢多起來了。大型商業(yè)企業(yè)、數(shù)據(jù)中心企業(yè)以及電子政務系統(tǒng)也都將HIDS納入了基本的安全架構(gòu)當中。

【編輯推薦】

1. Snort入侵檢測系統(tǒng)之我見
2. snort入侵檢測安裝及操作方法
3. 如何在Linux下實現(xiàn)入侵檢測IDS
4. 正確區(qū)分入侵檢測IDS與入侵防御IPS
5. 升級OR替代？IPS系統(tǒng)與IDS系統(tǒng)